Digitale aanvalstechnieken, leer je tegenstander kennen!

Een expertblog van Jeroen van der Linde en Paul Vankan

Expertblogs

01 april 2022

Hoe ga je aan de slag als je niet weet waar te beginnen? In het digitale landschap worden talloze componenten gebruikt die hun eigen configuratie bevatten en daarmee een eigen aanpak verdienen op het gebied van beveiliging.

In deze blog leggen we uit hoe een organisatie gericht, naast het implementeren van de basismaatregelen, aan de slag kan om haar digitale weerbaarheid te verhogen. Wat je daar voor nodig hebt: een dreigingsanalyse en kennis over hoe actoren te werk gaan.

Wat is het Mitre ATT@CK Framework?

Voordat een organisatie een verdedigings- en detectiestrategie kan ontwikkelen, moet je eerst leren begrijpen hoe aanvallers tewerk gaan bij digitale aanvallen. Een organisatie dient te onderzoeken welke dreigingen voor zijn of haar organisatie reëel zijn. Wanneer die informatie er is, kun je uitzoeken welke tactieken en technieken tegenstanders gebruiken. De applicatie die daarbij kan helpen is het Mitre ATT&CK Framework.

ATT&CK staat voor “Adversarial, Techniques, Tactics and Common Knowledge”. Dit is een publieke kennisbank, ontwikkeld vanuit Mitre, met informatie over actoren (tegenstanders) en hun digitale Tactieken, Technieken en bijhorende Procedures. Dit laatste wordt ook wel afgekort als TTPs. Naast de documentatie in deze kennisbank maakt het Mitre ATT&CK Framework tactieken en technieken te visualiseren in de Attack Navigator.

Tactieken, Technieken en Procedures

De TTPs documenteren het gedrag van een actor, waardoor je beter in staat bent digitale aanvalspatronen van actoren te herkennen en te identificeren. Met kennis over het gedrag van een actor begrijp je waarom een actor een doel wilt bereiken en hoe de actor dit doet. De Procedures beschrijven specifieke implementaties van technieken door actoren. Een voorbeeld hiervan is dat een tegenstander PowerShell gebruikt om lsass.exe te injecteren om credentials te achterhalen.

In de blog van collega Noortje, “Het ncsc en analysemodellen voor dreigingsinformatie”, verwijst ze naar de ‘pyramid of pain’. Hierbij geeft ze aan dat een tegenstander relatief makkelijk een IP-adres (Indicator of Compromise) kan wijzigen. Het is veel lastiger en arbeidsintensiever om delen van de aanvalsstrategie te wijzigen. Kennis hebben van de TTP voegt daarmee veel waarde toe aan de verdedigingsstrategie, omdat deze informatie minder vluchtig is.

Matrices

Nu we begrijpen dat het ATT&CK Framework een digitale kennisbank is van Actoren en TTPs, kunnen we deze visualiseren en ‘mappen’ op de verschillende matrices. De matrices vormen een overzicht van links naar rechts met alle tactieken. Onder de tactieken vind je (sub)- technieken. Het overzicht lijkt sterk op de Cyber Kill Chain van Lockheed Martin en zijn complementair aan elkaar. Het ATT&CK Framework geeft zelf aan dat hun beschrijving over hoe actoren te werk gaan meer gedetailleerd is. In afbeelding 3 wordt de deze opzet verduidelijkt:

In afbeelding 3 ziet u de tactiek “Reconnaissance” en de tien bijhorende technieken met hun sub-technieken.

Object Model Relations

De afbeelding 4 komt uit de “Mitre attack design and philosophy” en geeft de relaties worden tussen actoren, software, tactieken en technieken.

Afbeelding 4: Object Model Relations, bron: Mitre attack design and philosophy

In dit voorbeeld gebruikt APT28 de software Mimikatz voor een Credential Dumping met als doel het verkrijgen van Credential Access . Als organisatie heb je geen controle over de actor APT28 en de software die ze inzetten om hun doel te bereiken. Je kunt wel mitigaties toepassen om de techniek die de groep gebruikt zo min mogelijk bruikbaar te maken waardoor het bereiken van hun doel veel lastiger wordt. Mitigerende maatregelen voor “Credential Dumping” zijn:

Naast de mitigerende maatregelen beschrijft het Mitre ATT&CK Framework ook detectiemaatregelen. Het invoeren van deze detectiemaatregelen verhoogt de forensic readiness van uw organisatie en maakt helpt incident responders te achterhalen wat er is gebeurd bij een digitale aanval. Net zo belangrijk!

Attack Navigator

De attack navigator is een web-based applicatie voor het uiteenzetten van tactieken en technieken in de matrix. Dit kunt u doen voor één of meer groepen. Doet u dit voor meerdere groepen dan maakt u de technieken zichtbaar die het meest worden gebruikt door een tegenstander. U kunt hierdoor gericht mitigerende maatregelen implementeren bij een digitale aanval en zodoende uw organisatie weerbaarder maken tegen de dreiging voor uw organisatie.

Andere Use Cases

Als de dreiging en bijhorende mitigatie- en detectiemaatregelen bekend zijn kun u aan andere use cases denken. Werk samen met andere bedrijven in uw sector om dreigingsinformatie en maatregelen te verrijken door middel van deze taxonomie. Voer verschillende emulaties uit en maak realistische Red team scenario’s en ontdek hiaten in de beveiliging en monitoring. Neem dit, naast de basismaatregelen, ook mee op ontwerp- en architectuurniveau van uw IT-infrastructuur.

Conclusie

Het Mitre ATT&CK Framework is een publiek beschikbare kennisbank waarop het gedrag van actoren (TTPs) staat gedocumenteerd. Kennis hebben over TTPs is waardevol omdat het voor actoren veel lastiger is hun gedrag te veranderen dan onderdelen in hun infrastructuur. Deze kennis meenemen in uw dreigingsanalyse stelt u in staat gericht mitigatie- en detectiemaatregelen toe te passen op de Modus Operandi van actoren, dit naast de al te nemen basismaatregelen. In de volgende blog leggen wij uit hoe u de Attack Navigator kunt gebruiken om de gebruikte tactieken en technieken van actoren te stapelen. Dat helpt u met prioriteren op de mitigatie- en detectiemaatregelen ten aanzien van actoren in de dreigingsanalyse.